+ Responder ao Tópico



  1. #1

    Padrão Bloqueio de sites https

    Caros,
    preciso bloquear um site (https://www34.meebo.com) ao acessar ele pelo http, o proxy o bloqueia sem problemas, mas se usar https ele passa na boa. Gostaria de saber se existe alguma forma de se fazer esse tipo de bloqueio no squid ou se nesse caso teria q sere bloqueado no iptables.

    Att.

    Leandro

  2. #2
    vagno.santana
    Visitante

    Padrão Re:

    Olá, nessa caso o melhor seria bloquear por iptables, tenta a regra abaixo:

    iptables -A PREROUTING -d $ip_do_site -i $interface_interna -p tcp -j DROP
    iptables -A PREROUTING -d $ip_do_site -i $interface_interna -p udp -j DROP

    Espero ter ajudado.

    Até mais,

    Vagno.



  3. #3
    dbecher
    Visitante

    Padrão

    oi vagno
    eu ate criei um topico separado, mas soh pra completar aqui.. eu acho complicado essa forma, visto que muitos sites oferecem o https.
    Mas nao da pra bloquear a 433 por causa dos bancos.

    O proprio orkut também tem, e vários outros.

    Tem alguma outra ideia de como resolver?

    []s

  4. #4

    Padrão

    Nesse caso com proxy transparente não dá ... ou faz via iptables ... ou não faz transparente .... falow ...



  5. #5

    Padrão

    Mas uma coisa, se eu redirecionar essa porta para a porta do squid também, será que não funionaria?

    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 433 -j REDIRECT --to-port 3128

  6. #6

    Talking

    Citação Postado originalmente por juniovitorino Ver Post
    Mas uma coisa, se eu redirecionar essa porta para a porta do squid também, será que não funionaria?

    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 433 -j REDIRECT --to-port 3128
    Adianta nao pq proxy transparente nao bloqueia https!



  7. #7

    Padrão

    ...

    iptables -A PREROUTING -d $ip_do_site -i $interface_interna -p tcp -j DROP
    iptables -A PREROUTING -d $ip_do_site -i $interface_interna -p udp -j DROP

    ...
    Não seria a melhor solução pois vc pode ter problema no $ip_do_site. O orkut por exemplo e por enquanto, possui 3 ips. Pode ser que hoje vc bloqueie esses 3 e amanha eles coloquem em mais 4. Ai é f***.

  8. #8

    Padrão

    Citação Postado originalmente por LeoJfa Ver Post
    Caros,
    preciso bloquear um site (https://www34.meebo.com) ao acessar ele pelo http, o proxy o bloqueia sem problemas, mas se usar https ele passa na boa. Gostaria de saber se existe alguma forma de se fazer esse tipo de bloqueio no squid ou se nesse caso teria q sere bloqueado no iptables.

    Att.

    Leandro
    A melhor solução:

    1 - nao use proxy transparente porque ate o momento o squid nao barra https
    2 - crie regras no squid assim:

    acl meebo dstdomain .meebo.com .meebo.com.br
    acl orkut dstdomain .orkut.com .orkut.com.br
    acl meebo_orkut urlpath_regex meebo orkut

    ...
    ...

    http_access deny meebo orkut meebo_orkut

    Pronto, agora num passa!!



  9. #9

    Padrão

    Você pode usar proxy transparente sim.

    Faça o bloqueio no iptables.

    Se você quiser pode usar o mesmo arquivo de sites bloqueados no squid e no iptables...

    no script de configuração do firewall faça uma funçãozinha para ler o arquivo e adicionar as regras de forma automática no iptables.

    Se precisar de ajuda grite!

  10. #10
    dbecher
    Visitante

    Padrão

    Fiquei interessado.. como faz isso, mano?



  11. #11

    Padrão sem stress

    sem duvida a maneira mas eficaz para bloquear sites é o iptables....funciona perfeitamente com http e https :ex
    iptables -A FORWARD -d orkut - Login -j REJECT

    abraço....